Nuestros datos, por fin con dueño: la reforma chilena de protección de datos
Columna de análisis · Por Peter Schneider · Schneider Abogados · Actualizada en junio de 2026
Durante un cuarto de siglo, Chile protegió los datos personales de sus habitantes con una ley pensada para un país que ya no existe: el de 1999, sin teléfonos inteligentes, sin redes sociales, sin economía de plataformas y sin inteligencia artificial. La Ley N° 21.719 vino a cerrar esa distancia. No es un retoque ni una actualización menor: es la reconstrucción del derecho chileno de protección de datos, con principios nuevos, derechos exigibles y, por primera vez, una autoridad con poder para hacerlos valer. Esta columna intenta explicar qué cambia y por qué importa, mirando el asunto no solo como un problema jurídico, sino como lo que en el fondo es: una discusión sobre el poder, la dignidad y la economía en la era de los datos.
Conviene partir por lo más básico, porque es lo que más confusión genera. Esto ya no es un proyecto. La Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, se publicó en el Diario Oficial el 13 de diciembre de 2024. No entró en pleno vigor de inmediato: la propia ley fijó un período de adecuación de veinticuatro meses, de modo que su exigibilidad plena se produce el 1 de diciembre de 2026. Ese diseño escalonado no es un capricho. Reconoce que adaptar a un país entero —empresas, organismos públicos, profesionales, emprendedores— a un estándar radicalmente más alto toma tiempo, y entrega esa ventana para que cada organización ordene su casa antes de que la nueva autoridad pueda fiscalizar y sancionar con todas sus potestades. Pero que el plazo exista no debe confundirse con que la ley sea futura o hipotética: es derecho vigente, con una fecha cierta en el horizonte que se acerca día a día.
La magnitud del cambio se aprecia mejor si uno entiende de dónde venimos. Y de dónde venimos es, francamente, de muy atrás.
Veinticinco años de atraso
La Ley N° 19.628, sobre protección de la vida privada, se dictó en 1999. Para su época fue un avance: Chile fue de los primeros países de la región en tener una ley de datos. Pero el mundo que esa ley imaginó quedó sepultado por la revolución digital. En 1999 los datos personales eran, sobre todo, registros en bases de datos relativamente acotadas; hoy son el combustible de una economía global. Cada búsqueda, cada compra, cada desplazamiento con el teléfono en el bolsillo, cada interacción en una plataforma, genera información sobre nosotros que se recopila, se combina, se analiza y se monetiza a una escala que ningún legislador del siglo pasado pudo anticipar. La ley de 1999 protegía un castillo cuando la guerra ya se libraba en otro territorio.
El problema no era solo de contenido, sino de eficacia. La 19.628 reconocía derechos, pero ejercerlos era cuesta arriba: dependía, en buena medida, de que la persona afectada litigara individualmente, sin una autoridad especializada que fiscalizara, instruyera y sancionara de oficio. En la práctica, eso significaba que para una gran cantidad de tratamientos abusivos no había consecuencia alguna. Los derechos existían en el papel, pero el papel no se defendía solo. Una empresa que usaba mal los datos de sus clientes enfrentaba, a lo sumo, el riesgo remoto de un juicio aislado; el incentivo para cumplir era débil. Esa asimetría —entre el enorme valor económico de los datos y la escasa exigibilidad de los derechos sobre ellos— es exactamente lo que la Ley N° 21.719 vino a corregir.
A esa urgencia interna se sumó, como suele ocurrir, un empuje externo. El estándar internacional en materia de datos se elevó drásticamente, sobre todo a partir del Reglamento europeo de protección de datos, que se convirtió en una referencia global. Para un país que quiere comerciar, recibir inversión y participar en flujos internacionales de información, tener una legislación obsoleta es un obstáculo concreto: dificulta las transferencias de datos, genera desconfianza y deja a las empresas chilenas en desventaja. Modernizar la ley dejó de ser solo una cuestión de derechos ciudadanos para volverse, también, una condición de competitividad. La reforma chilena recoge esa doble motivación, y por eso adopta una arquitectura reconocible para cualquiera familiarizado con los estándares contemporáneos.
Qué cambia de fondo
Si tuviera que resumir la reforma en una frase, diría que convierte la protección de datos de una aspiración en una obligación verificable. Y ese giro descansa en tres pilares: una autoridad, un conjunto de principios y derechos, y un régimen de consecuencias.
El primer pilar, el más estructural, es la creación de la Agencia de Protección de Datos Personales. La ley la configura como una corporación autónoma de derecho público, de carácter técnico y descentralizada, con personalidad jurídica y patrimonio propios, que se relaciona con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo —una autonomía de rango legal, no constitucional—. Lo decisivo, en todo caso, no es su etiqueta orgánica, sino lo que puede hacer: dictar instrucciones, fiscalizar de oficio o por denuncia, instruir procedimientos, ordenar medidas correctivas y aplicar sanciones, además de administrar un Registro Nacional de Sanciones y Cumplimiento de acceso público. Por primera vez en Chile existirá un fiscalizador especializado en datos personales con potestades reales. Esa es, probablemente, la diferencia más práctica respecto del régimen de 1999: la supervisión deja de depender de litigios individuales y pasa a ser administrativa, continua y con capacidad de imponer consecuencias.
El segundo pilar es el corazón sustantivo de la ley: los principios y los derechos. La norma ordena todo tratamiento de datos en torno a principios como la licitud y lealtad, la finalidad, la proporcionalidad, la calidad, la responsabilidad, la seguridad, la transparencia y la confidencialidad. No son adornos retóricos: son reglas que toda organización deberá poder demostrar que respeta. Para tratar datos hará falta una base de licitud —el consentimiento de la persona u otra causa que la ley reconozca, como la ejecución de un contrato, el cumplimiento de una obligación legal o el interés legítimo, este último siempre sujeto a ponderación—. Y a las personas se les reconocen derechos robustos sobre su propia información: los clásicos de acceso, rectificación, cancelación o supresión y oposición, ahora acompañados por la portabilidad, que permite llevarse los datos de un proveedor a otro. La ley presta, además, atención particular a las categorías más sensibles y a los datos de niñas, niños y adolescentes, reconociendo que no toda información merece la misma protección ni todo titular está en la misma posición.
El tercer pilar es el de las consecuencias, sin el cual los dos anteriores serían letra muerta. La ley contempla un régimen de sanciones a cargo de la Agencia, con infracciones graduadas y multas que escalan: en los casos más graves pueden alcanzar las 20.000 unidades tributarias mensuales. Y, siguiendo el modelo internacional, para las reincidencias graves o gravísimas la sanción puede llegar a ser la mayor entre el triple de la multa original y un porcentaje de los ingresos anuales por ventas y servicios del infractor en Chile —hasta un 2% en la reincidencia grave y hasta un 4% en la gravísima—. Ese mecanismo de multa proporcional a los ingresos es deliberado: busca que para una empresa grande el costo de incumplir no sea simplemente un número asumible dentro de su presupuesto, sino una cifra capaz de doler y, por tanto, de disuadir. Es el reconocimiento de que, sin sanciones significativas, la protección de datos seguiría siendo opcional para quien pudiera pagar el precio del incumplimiento.
La dimensión económica
Sería ingenuo presentar esta reforma solo como una conquista de derechos sin reparar en sus costos y en sus efectos económicos, que son considerables y merecen una mirada honesta. Adecuarse a la Ley N° 21.719 no es gratis. Para muchas organizaciones implica mapear qué datos tienen y por qué, revisar la base legal de cada tratamiento, rehacer la forma en que piden y documentan el consentimiento, adoptar medidas de seguridad proporcionales al riesgo, mantener inventarios o catálogos de sus tratamientos en línea con los deberes de transparencia, realizar evaluaciones de impacto en los tratamientos más sensibles y, en ciertos casos, designar a un delegado de protección de datos. Es un esfuerzo de gobierno de la información que, para empresas grandes, supone profesionalizar lo que ya hacían, pero que para pequeñas y medianas puede representar una carga real, tanto económica como organizativa.
Esa carga plantea una tensión legítima. Por un lado, un mismo estándar para todos protege por igual a las personas, sin importar si sus datos los trata una multinacional o un emprendimiento. Por otro, exigir lo mismo a actores de tamaños tan dispares puede ser desproporcionado y, en el extremo, levantar barreras de entrada que favorezcan justamente a las grandes plataformas, que tienen espaldas para cumplir, frente a competidores más pequeños que no las tienen. Cómo se administre esa tensión —con criterios proporcionales, acompañamiento a las pymes y exigencias graduadas según el riesgo real— será determinante para que la reforma no termine, paradójicamente, concentrando aún más el poder sobre los datos en quienes ya lo concentran.
Pero la economía de los datos tiene también una cara que juega a favor de la reforma. Un país con un marco de protección moderno y homologable a los estándares internacionales gana en confianza y en facilidad para integrarse a flujos globales de información. Las transferencias internacionales de datos, que son el sustrato de buena parte del comercio digital y de la industria de servicios, se vuelven más fluidas cuando el país de origen ofrece garantías reconocibles. En esa lectura, la ley no es solo un costo: es una inversión en reputación y en competitividad, una credencial que abre puertas en un mundo donde mover datos a través de fronteras requiere que ambas partes confíen en las reglas de la otra. Y para los buenos cumplidores, un entorno donde el abuso de datos se sanciona nivela la cancha: deja de ser una desventaja competir respetando la privacidad cuando otros se aprovechaban de no hacerlo.
La dimensión social: una discusión sobre el poder
Por debajo de las multas y los registros, esta reforma toca algo más profundo que conviene nombrar con claridad: la relación de poder entre las personas y quienes manejan su información. En la economía digital, los datos personales son poder. Quien sabe quiénes somos, qué hacemos, qué nos gusta, dónde estamos y qué podríamos llegar a comprar, tiene sobre nosotros una capacidad de influencia, de predicción y de discriminación sin precedentes en la historia. Esa información permite ofrecernos servicios útiles, sí, pero también permite manipularnos, excluirnos, vigilarnos y cobrarnos distinto según lo que el sistema cree saber de nosotros. La protección de datos es, en este sentido, una herramienta de equilibrio de poder: devuelve a las personas un grado de control sobre algo que las define y que, hasta ahora, circulaba casi sin que pudieran intervenir.
Esta dimensión se vuelve más aguda con la irrupción de la inteligencia artificial, que se entrena y se alimenta de datos. Cuanta más información personal circula sin control, mayor es la materia prima disponible para construir sistemas que toman decisiones sobre nuestras vidas —si nos dan un crédito, un trabajo, un seguro— a partir de patrones que ni siquiera comprendemos del todo. Una ley de datos robusta no resuelve por sí sola los dilemas de la inteligencia artificial, pero pone una base imprescindible: la idea de que la información sobre las personas no es un recurso libre a disposición de quien la capture, sino algo sobre lo cual cada uno conserva derechos. Sin esa base, cualquier discusión posterior sobre algoritmos y automatización parte cojeando.
Hay también una cuestión de dignidad que no debe perderse en el tecnicismo. Detrás de cada dato hay una persona, y muchas veces los datos revelan lo más íntimo: la salud, las creencias, la orientación, las dificultades económicas, la vida familiar. Que la sociedad decida poner reglas sobre cómo se trata esa información es, en el fondo, una afirmación sobre el respeto que se deben las personas entre sí en un entorno digital. La especial atención de la ley a los datos sensibles y a los de niñas, niños y adolescentes es coherente con esa idea: hay información cuya exposición puede herir, y hay sujetos —los más jóvenes— que merecen una protección reforzada porque no están en condiciones de cuidarse solos. Leída así, la protección de datos deja de ser una materia árida de cumplimiento corporativo y se revela como lo que también es: una extensión de los derechos de la persona al mundo digital.
El desafío de la implementación
Como toda reforma ambiciosa, la Ley N° 21.719 se jugará su suerte en la implementación, y ahí conviven, con razones atendibles, dos miradas que vale la pena exponer sin abrazar ninguna como dogma.
Quienes la celebran sostienen que Chile saldó una deuda de veinticinco años, que las personas por fin tendrán control efectivo sobre su información y un órgano que las respalde, y que el país se pone a la altura de los estándares internacionales en un terreno donde quedarse atrás tiene costos concretos. Para esta mirada, las exigencias de la ley son la contrapartida razonable de un derecho fundamental, y la severidad de las sanciones es la única forma de que las reglas se tomen en serio.
Quienes la observan con cautela no objetan el objetivo, sino el modo. Advierten sobre el costo de cumplimiento para las organizaciones más pequeñas, sobre la severidad de un régimen que llega a porcentajes de los ingresos, sobre la incógnita de si la nueva Agencia contará con los recursos y la capacidad técnica para fiscalizar de manera pareja y sofisticada, y sobre la incertidumbre interpretativa que reinará mientras no existan criterios consolidados. Su preocupación es que la exigencia resulte proporcional y predecible, y no una fuente de inseguridad jurídica que castigue por igual al que abusa de los datos y al que comete un error de buena fe.
Ambas posiciones coinciden, una vez más, en un punto que suele pasar inadvertido: el período de adecuación y los primeros criterios de la Agencia serán decisivos. Una ley puede ser impecable en el papel y fracasar en la práctica si su autoridad fiscaliza mal, si los reglamentos llegan tarde o si la interpretación es errática. A la inversa, una ley exigente bien administrada —con orientación a quienes cumplen de buena fe, sanciones reservadas para los abusos serios y criterios claros— puede cumplir su promesa sin asfixiar la actividad económica. La diferencia entre un avance equilibrado y una carga difícil de administrar no está, en buena medida, en el texto, sino en la mano que lo aplique.
Lo que está en juego
La reforma de protección de datos forma parte de un movimiento más amplio que estamos viendo en Chile y en el mundo: el derecho tratando de poner orden en la transformación digital. Durante años, la tecnología avanzó sin que las reglas la siguieran, y las personas quedaron expuestas en una zona gris donde sus datos circulaban con escasa protección efectiva. La Ley N° 21.719, junto con la legislación de ciberseguridad y los debates que vienen sobre inteligencia artificial, representa el esfuerzo de las instituciones por recuperar terreno, por afirmar que la vida digital también ocurre dentro de un marco de derechos y deberes. No será perfecta, porque legisla sobre un blanco en movimiento, pero su dirección es clara y, me atrevo a decir, necesaria.
Para las organizaciones, el camino sensato no admite postergaciones, aunque la exigibilidad plena llegue en diciembre de 2026. Adecuarse bien toma tiempo: requiere conocer qué datos se tienen, ordenar las bases legales, revisar contratos y sistemas, capacitar a los equipos y construir una verdadera cultura de cuidado de la información. La empresa que espere hasta el último minuto se encontrará improvisando frente a una autoridad ya en funciones; la que se prepare con tiempo no solo evitará sanciones, sino que descubrirá que un buen gobierno de datos también mejora su operación y su relación con los clientes. Cumplir bien y competir bien, en esta materia, tienden a coincidir.
Y para las personas, lo que está en juego es nada menos que la posibilidad de habitar el mundo digital sin renunciar a un control básico sobre quiénes somos. Cada vez que entregamos un dato —y lo hacemos decenas de veces al día, muchas sin darnos cuenta— ponemos en manos ajenas una porción de nuestra identidad. Que existan reglas claras, derechos exigibles y una autoridad que los respalde no convierte el mundo digital en un lugar inofensivo, pero sí en uno donde la persona deja de ser un mero objeto de tratamiento para volver a ser un sujeto con voz. Esa, al final, es la apuesta de fondo de la reforma: que en la era de los datos, las personas sigan siendo dueñas de lo suyo. Si la cumple dependerá de todos —del Estado que la aplique, de las empresas que la respeten y de los ciudadanos que ejerzan sus derechos—, pero el rumbo, al menos, es el correcto.
Fuentes y marco legal
- Ley N° 21.719 — regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales; publicada el 13 de diciembre de 2024, con plena vigencia el 1 de diciembre de 2026.
- Ley N° 19.628 — régimen anterior sobre protección de la vida privada (1999), profundamente modificado por la Ley N° 21.719.
- Ley N° 21.663 — Ley Marco de Ciberseguridad, norma complementaria y distinta: protege la seguridad de los sistemas, no la privacidad de los datos.
Toda referencia normativa se verifica contra fuentes oficiales (BCN/leychile.cl) a la fecha de actualización. Los criterios de la Agencia y los reglamentos pueden evolucionar durante el período de adecuación.